Thoughtbot Paperclip Gem fino 4.2.1 su Ruby Upload cross site scripting
CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
---|---|---|
4.1 | $0-$5k | 0.00 |
In Thoughtbot Paperclip Gem fino 4.2.1 su Ruby (Ruby Gem) è stato trovato un punto critico di livello problematico. É interessato una funzione sconosciuta del componente Upload Handler. Mediante la manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. Questo si osserva su la integrità.
La vulnerabilità è stata pubblicata in data 10/07/2015 (Website) (non definito). L'advisory è scaricabile da robots.thoughtbot.com. Questa vulnerabilità è identificata come CVE-2015-2963. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Dettagli tecnici sul punto critico come anche metodo d'utilizzo non sono a disposizione.
È disponibile un plugin per lo scanner Nessus, numero ID 84322 (FreeBSD : rubygem-paperclip -- validation bypass vulnerabilitiy (0f154810-16e4-11e5-a1cf-002590263bf5)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 4.2.2 elimina questa vulnerabilità.
La vulnerabilità è documentata anche nei database Tenable (84322).
Prodotto
Genere
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 4.3VulDB Punteggio Meta Temp: 4.1
VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 4.1
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
---|---|---|---|---|---|
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Cross site scriptingCWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non definito
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
---|---|---|---|---|
Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 84322
Nessus Nome: FreeBSD : rubygem-paperclip -- validation bypass vulnerabilitiy (0f154810-16e4-11e5-a1cf-002590263bf5)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
0 giorni di tempo: 🔍
Upgrade: Thoughtbot Paperclip Gem 4.2.2
Patch: github.com
Sequenza temporale
07/04/2015 🔍18/06/2015 🔍
18/06/2015 🔍
10/07/2015 🔍
10/07/2015 🔍
12/07/2015 🔍
14/07/2015 🔍
31/05/2022 🔍
Fonti
Advisory: 9aee4112f36058cd28d5fe4a006d6981bd1eda57Stato: Non definito
Confermato: 🔍
CVE: CVE-2015-2963 (🔍)
Vulnerability Center: 51155 - Rubygem Paperclip before 4.2.2 Remote XSS via a Spoofed Value, Medium
SecurityFocus: 75304 - Ruby On Rails Paperclip CVE-2015-2963 Cross-Site Scripting Vulnerability
Voce
Data di creazione: 12/07/2015 17:13Aggiornamenti: 31/05/2022 08:17
I cambiamenti: 12/07/2015 17:13 (60), 12/07/2017 12:11 (4), 31/05/2022 08:12 (4), 31/05/2022 08:17 (1)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.